OAuth协议与OpenID协议的区别

最新推荐文章于 2023-11-08 09:44:26 发布
最新推荐文章于 2023-11-08 09:44:26 发布
阅读量267 收藏
点赞数
原文链接:https://my.oschina.net/fhd/blog/488653
版权

为什么80%的码农都做不了架构师?>>>   hot3.png

OAuth关注的是authorization;而OpenID侧重的是authentication。从表面上看,这两个英文单词很容易混淆,但实际上,它们的含义有本质的区别:

  • authorization: n. 授权,认可;批准,委任

  • authentication: n. 证明;鉴定;证实

OAuth关注的是授权,即:“用户能做什么”;而OpenID关注的是证明,即:“用户是谁”。

如果混淆了OAuth和OpenID的含义,后果很严重。以国内某网站开发的应用为例:它的功能是通过OAuth授权让新浪微博和豆瓣的用户使用各自的身份发表评论,如下图所示(错误的把OAuth当做OpenID使用)

150401_Cxss_168814.png

此类应用属于身份证明问题,本应该通过OpenID来实现,但因为错误的使用了OAuth,从而带来安全隐患:设想一下用户只是在网站上发表了评论而已, 但却赋予了网站随意操作自己私有数据的权利!这就好比:快递员送包裹,为了证明收件人的身份,原本你只要给他看一下身份证即可,可你却把防盗门钥匙都给他 了!Oh,My God!

转载于:https://my.oschina.net/fhd/blog/488653

weixin_34301132
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OpenIdOAuth协议详解
01-29
OpenID是一个开放式标准,它主要描述了在用户在分布式系统的认证方式以及提供了一套额外的服务系统允许用户方便...OAuth协议最初的出现是为了解决不同网站和其他互联网服务商访问受保护的资源这个普遍性问题而设计的。
OAuthOpenID区别
weixin_34068198的博客
11-12 187
OAuthOpenID都是开放的Web第三方登录标准,都使用了HTTP重定向的方式,也都可以集中管理登录有效期。 它们不同于,OpenID的目标在于使你只用一次登录动作就可以登录多个网站。当你想要登录一个使用了OpenID服务的网站时,它会将你重定向至提供OpenID服务的网站,如果你已经登录过,会自动重定向回来,此时你已经是登录状态。 OAuth的目...
理解OpenIDOAuth区别
Allec Cui的博客
03-30 1万+
      在项目开发中,我们经常说授权认证,经常把他们放到一起去描述,那两者在本质上是有区别的,OpenIDOAuth就是我们说的认证和授权。OpenID:Authentication 认证OAuth :Authorization   授权       如今越来越多的网站,以及一些应用程序都开始使用第三方社交平台账户登录,那这里就会涉及到安全性的问题,隐私的问题,你不能随意来获取我的资料,当然...
OAuthOpenID区别
weixin_34267123的博客
06-28 194
前面两篇文章(OAuthOpenID)都说了可以用来认证身份,但是他们之间到底有哪些不同,哪些情况应该用OAuth,哪些情况应该用OpenID呢?下面就一起来看下他们之间的区别。 简短的说,OAuth关注的是authorization;而OpenID侧重的是authentication。从表面上看,这两个英文单词很容易混淆,但实际上,它们的含义有本质的区别: authorization:...
OpenIDOAuth 有什么区别
草根上的须子
08-17 1732
OpenID是Authentication OAuth是Authorization 前者是网站对用户进行认证,让网站知道“你是你所声称的URL的属主” 后者其实并不包括认证,只不过“只有认证成功的人才能进行授权”,结果类似于“认证+授权”了。OAuth相当于:A网站给B网站一个令牌,然后告诉B网站说根据这个令牌你可以获取到某用户在A网站上允许你访问的所有信息 如果A网站需要用B网站的用户系统进行登...
OpenID及其原理介绍,OAuthOpenID区别
热门推荐
xcjing的博客
06-28 1万+
OpenID及其原理介绍 昨天和朋友谈到统一身份验证时,才知道这个OpenID的东东,汗一个先... 这是一套不别于微软的Passport(或者其他厂商的一些所谓通行证技术)的开源的解决方案,支持自己架设验证服务器。我想对于企业内部大部分应用系统实现统一登录是会有些帮助的。它的主要原理是 1. 你首先得拥有一个合法的OpenID帐号,也就是说需要在一个验证服务器申请了一个帐号。 2
OpenIDOAuth协议详解
03-31
OpenIDOAuth协议详,很好的文档哦,请支持下载
AppAuth-Android:Android客户端SDK,用于与OAuth 2.0和OpenID Connect提供程序进行通信
04-02
适用于Android的AppAuth是用于与和提供程序进行通信的客户端SDK。 它努力遵循那些惯用的实现语言样式,直接映射那些规范的请求和响应。 除了映射原始协议流外,便捷方法还可用于协助执行常见任务,例如使用新令牌...
OAuth协议 介绍
02-15
OAuth协议致力于使网站和应用程序(统称为消费方)能够在无须用户透露其认证证书的情况下,通过API访问某个web服务(统称为服务提供方)的受保护资源。更一般地说,OAuth为API认证提供了一个可自由实现且通用的方法...
AppAuth-JS:JavaScript客户端SDK,用于与OAuth 2.0和OpenID Connect提供程序进行通信
04-29
该库还支持OAuth的扩展,该扩展是在使用自定义URI方案重定向时创建的,用于保护公共客户端中的授权代码。 该库对其他扩展(标准或其他扩展名)友好,能够处理所有协议请求和响应中的其他参数。 例子 src/node_app...
openid协议中文
01-06
详细描述openid协议原理及流程,对openid开发比较有意义
OpenIDOAuth区别
微风轻拂
05-31 4345
我浏览一般网站时,特别是那些创业项目网站,除非能用OpenID登录,包括Google/Yahoo/Sina/Renren/QQ等,否则我一般不会去注册和登陆,太麻烦了。感觉OpenID这个东西很实用方便必要,如果我要做一个网站的话,一定把各种OpenID都给它加上。另外最近上新浪微博比较多,又接触了Oauth,这个东西能极好地延伸新浪微博的触角并帮创业者拓展空间。那么这个OpenIDOAuth
用通俗的例子解释OAuthOpenID区别【原】
weixin_34269583的博客
03-14 373
什么是OAuth(Wiki) 什么是OpenID(Wiki) 详细的定义可以看wiki,下面举个例子说说我的理解 现在很多网站都可以用第三方的账号登陆,比如,现在我要登录淘宝买东西,而如果我没有淘宝的账号,我也可以用微博的账号登录,这个微博账号就是第三方账号了。 OpenID强调验证 authentication,而OAuth强调授权 authorization。 验证就是说“...
开放平台实现安全的身份认证与授权原理与实战:理解OpenID Connect协议
禅与计算机程序设计艺术
11-06 139
作者:禅与计算机程序设计艺术 1.背景介绍 近年来,越来越多的应用开发者们开始关注安全性问题。由于各种各样的攻击手段和零日漏洞的出现,安全已经成为一个极其重要的问题。其中一种常用的攻击方式是恶意第三方入侵,或者受害者通过某种方法绕过某些防御措施。因此,应用开发者需要在保证用户数据安全的前提下,提供足
SSO、OAuth2、JWT、CAS、OpenID、LDAP、RBAC
summer_fish的专栏
11-08 1860
单点登录(Single Sign On),简称为 SSO,是比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统要实现SSO,需要构建以下两个主要内容:OAuth2.0是OAuth协议的延续版本,但不向前兼容OAuth 1.0(即完全废止了OAuth1.0)。OAuth 2.0关注客户端开发者的简易性。要么通过组织在资源拥有者和HTTP服务商之间的被批准的交互动作代表用户,要么允许第三方应用代表用户获得访问的权限。
网络安全——流量分析
W981113的博客
01-14 1万+
一、题目背景 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题 二、关卡列表 1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器 2 某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是(相对路径即可) 3 某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:
痛苦网安学习1.1——1.2
w2864619870的博客
10-11 1169
今天进行了痛苦的攻防学习,老师我是什么都不会的猴子。可是!!!!!我会在他课上偷偷吃软糖,就不生气了。
SSO、OAuth2、JWT、CAS、OpenID、LDAP、淘宝微信登录一网打尽
babay550的博客
11-16 4942
SSO、OAuth2、JWT、CAS、OpenID、LDAP、淘宝微信登录一网打尽
oauth2+openid1
最新发布
12-20
OpenID Connect(OIDC)是在OAuth 2.0的基础上构建的身份验证协议。它允许用户使用他们在认证提***0和OpenID Connect,您可以使用现有的库或框架来简化开发过程。例如,您可以使用Ruby的OmniAuth库来实现与Yahoo!...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值